Pesquisadores da Group-IB identificaram uma nova variante de ransomware, denominada “DeadLock”, que utiliza contratos inteligentes da Polygon como um meio descentralizado para armazenar e rotacionar endereços de proxy para suas operações de comando e controle (C2). Ao incorporar código nas máquinas das vítimas que consulta um contrato inteligente específico, os atacantes podem atualizar dinamicamente os pontos de proxy on-chain, evitando as vulnerabilidades de servidores centralizados que podem ser bloqueados ou apreendidos.
A campanha DeadLock, identificada pela primeira vez em julho de 2025, manteve um perfil discreto, sem sites de vazamento de dados conhecidos ou programas afiliados promovendo-a. No entanto, a Group-IB ressalta que o uso de transações imutáveis em blockchain para a distribuição de proxies representa um “método inovador” que apresenta desafios significativos para estratégias tradicionais de derrubamento. O contrato inteligente não exige que as vítimas enviem transações ou paguem taxas de gás, pois o malware realiza apenas operações de leitura.
Uma vez que um novo endereço de proxy é obtido, o ransomware estabelece canais criptografados com o ambiente da vítima para transmitir demandas de resgate e a ameaça de exfiltração de dados. A rotação de proxies on-chain aumenta a resiliência, já que o contrato inteligente permanece acessível entre os nós distribuídos, mesmo que endereços individuais estejam na lista negra ou removidos da infraestrutura off-chain.
A Group-IB alerta que a abordagem DeadLock poderia ser prontamente adaptada por outros atores de ameaça para ocultar a infraestrutura, citando incidentes anteriores de “EtherHiding”. A tática de evasão baseada em blockchain ressalta a natureza de uso duplo dos contratos inteligentes e destaca a necessidade de as defesas de cibersegurança evoluírem junto com os novos vetores de ataque on-chain. As organizações são aconselhadas a monitorar a atividade pública de contratos inteligentes e a implementar inteligência de ameaça on-chain em suas operações de segurança.
Comentários (0)